Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Интервю
бр. 7, 2018

Компаниите често пренебрегват риска в името на евтините и удобни решения

от , 24 юли 2018 0 759 прочитания,

Виргиния Стаматова


Иван Станчин, експерт ИТ сигурност в Уникредит Булбанк


Г-н Станчин, има ли разлика в отношението към информационната сигурност от страна на разработчиците на браузъри и протоколи, и на корпоративните ИТ експерти?

Браузърите още на идейно ниво са създадени да дават удобен и единен интерфейс, който се ползва лесно за крайни потребител, за да му бъде предоставено съдържание или търсена функционалност. (смее се). Все повече се дава възможност за интегриране с други приложения, което от една страна е улеснение, но в същото време създава противоречия именно в областта на сигурността.

Много често удобството да се ползва единна парола или акаунт в дадено интернет приложение, за всички съпътстващи услуги е възможност за трета злоумишлена страна да се сдобие с пълна информация за кореспонденцията ви, личните ви данни – реално еквивалентът е да имате един универсален ключ, който отваря колата ви, жилището ви, касата ви …или да имате един ПИН код за всякакви кредитни или дебитни карти ..

Всичко в интернет е много лесно и удобнo и постепенно започваме да не ставаме от мястото си и да живеем в компютъра си. За по-възрастното поколение това е проблем, но по-младите го възприеха. Децата вече живеят в измислен свят: те са покемони или квадратни човечета, и имат 100 живота. И поколението, което идва няма спирачки, т.е. критерии за добро и зло. Защото във виртуалния свят доброто и злото са заедно и винаги струват 200 долара и ти дават нов живот или нов акаунт. Но в реалния свят не е така.

Прекалената свързаност със социалните медии, е друга опасност, която идва от тук. От маркетингова гледна точка, те носят много ползи. Но така повечето мениджъри на компании, се съсредоточават само върху правенето на повече пари и пренебрегват ИТ средата, и почти не инвестират в нея, а в най-добрия случай купуват „нещо готово“ или по-евтино решение за направа на приложение. Но липсата на допълнителни изисквания за лицензиране на клиентския интерфейс и възможността визуалното да засенчи функционалното, реално води до там, че бизнесът често си нагажда живота по това, което някоя технологична компания е направила. Компаниите пренебрегнат риска, свързан със сигурността и се отдават на радостта от видяното - шареното и мигащо екранче, което разработчикът е направил. Но не зад всяка лъскава опаковка има вкусен шоколад.

Защитата на данните на потребителите, навлиза като тема заедно с GDPR. За какво трябва да внимават фирмите?

Според мен в регулацията се преекспонира, а новите моменти са санкциите и взаимните ни задължения. Сега се оказва, че фирми, които са работили дълго време заедно и са имали общ бизнес, започват да влизат в договорни отношения за данните.

Но GDPR имаше и по-рано, само че не се спазваше. Параноята на тази тема сега, която показва каква е била защитата на данните в миналото.

Причина за регулацията беше прекалено агресивното таргетиране на потребителите. Спряхме да си вярваме, а на личните данни започна да се гледа като на пазарна количка. И бизнесът се озова в един супермаркет, в който стоките за вегетарианци са от ляво, а за месоядни – от дясно. И ако сте вегетарианец – влизате и взимате всичко от ляво, без значение дали ви трябва или – не.

Но личните данни са един от всичките видове данни. Стратегическите планове на фирмата или разработваните нови продукти не са по-малко важни от данните на служителите или клиентите.

Големият парадокс при GDPR е, че регулацията изважда личните данни от понятието „информация“. Друг парадокс е, че GDPR изисква личните данни да се маскират в лог файловете, но потребителят може да извърши злоупотреба или да напише пост, с който призовава към тероризъм. Ако данните в лога са маскирани, ние ще знаем, че не Петър е направил плащане на дадена дата, а че някой е направил плащане. И ако това е свързано с престъпна дейност, конкретният извършител няма да може да бъде идентифициран, което е проблем и за органите на реда.

Но ако маскираме данните, как ще изпълним предвиденото в PSD 2 (Втората директива за платежните услуги на ЕС)? Според нея, банките трябва веднага да връщат парите на клиента, ако той оспорва плащането, а след това да си възстановят загубата по съдебен път. Но как да стане това? След като по единия закон сме заличили всичко за вас и нямаме правно основание да пазим информацията? Така се създават още много начини за извършване на измама.

В УниКредит работим по превенция именно на такива несъответствия, породени от директивите. От няколко години имаме фокус върху инициативи в контекста на отвореното банкиране. Като пример мога да дам Appathon и Hackathon, състезания за разработчици, които представят идеи за по-лесното внедряване на PSD2.

Нашият стратегически план Transform 2019 се опира на иновацията в трансформирането на банковия оперативен модел с цел подобряване на клиентското преживяване, отговор на постоянно променящите се потребности на клиентите и адаптиране към новите регулаторни изисквания.

Какви са най-честите опити за измами във финансовата сфера?

От 3-4 месеца зачестиха опитите за фишинг. Те не са ориентирани персонално към определени хора, т.нар. spear phishing, общо, като се атакуват всякакви хора, без да се предполага дали ползват някакъв вид банкиране или – не. Атакуват се публични мейл сървъри, като се изпращат фалшиви писма, с които потребителите биват подканвани да извършат някакво действие. От общата маса има хора, които се поддават и така започват да предоставят своята идентичност (потребителски имена и пароли) и създават нови условия за бъдещи измами. Всички банки са защитени и няма как някой да направи плащане през електронното банкиране, като стигне до вашия акаунт, но така може да се видят вашите салда, плащания – с какво разполагате и как разпределяте финансите си. А това реално ви прави мишена за бъдещи атаки, които вече са конкретно за този вид банкиране. Атаките са към всички банки, като на ден засичаме около 3-4 опита за фишинг, като 90 % не са към наши клиенти или услуги.

От какъв тип са повечето заплахи към ИТ сигурността днес - хакерски атаки (кои преобладават) или проучване от страна на конкуренти?

Реално много по-видими са хакерските атаки, но щетите които може да нанесе промишленият шпионаж, не са по-малки по размер. От една страна хакерските атаки са организирани и целенасочени и винаги целят злоупотреба, измама, установяване на контрол, стъпало за друг вид престъпление, но по отношение на проучването - дали сме си задавали въпроса какво реално означава това?

Интересна е дилемата кое е по-малкото зло – дали ще дадем средства с цел да се възстановим от хакерска атака или ще дадем еквивалента, но за маркетингови проучвания, сдобиване с информация даваща конкурентно предимство, манипулиране на пазара…. Колко често сме си задавали въпроса – откъде имат моите данни, защо точно мен ме търсят, защо точно това ми препоръчват, дали лекарството което приемам всъщност не само стрита захар?

Социалният инженеринг и шпионажа са метод на хакерството и това не е задължително да е непременно в ИТ среда. Ако съвсем честно си отговорим какво означава проучване от страна на конкурентите реално ще установим , че това са първите три основни стъпки от всяка хакерска атака. Къде са границите? Да не забравим, че пътят към ада е постлан с добри намерения. Какво ще направи една компания след като проучи конкурента си? Тук не става въпрос за честен бизнес, а за оцеляване, за даване на предимство за постигане на по-голям дял, по голяма печалба. Ще спра до тук, защото нямам претенцията да определям кое е добро или неправилно при воденето и правенето на бизнес, но идеята която споделям е ,че реално няма разлика между хакертство и проучване на конкурент, просто игра на думи.

Какво ще препоръчате на компаниите, за да се предпазят?

Съветът ми, ще е по-скромен, но и по краен – преди всичко наемайте компетентен екип, спазващ корпоративните ценности и правила. Не жалете средства да развивате и приобщавате служителите си в каузата и вярата за едно семейство, защото реално те трябва да живеят и мислят като за едно семейство. Тази препоръка има и своят финансов измерител. Когато отчетем загубите и печалбите – сами ще установите по високите печалби. Не делете никога служителите си, всяка пепеляшка е потенциална принцеса, всеки войник носи генералски жезъл.

Не позволявайте на доставчиците на услуги или ресурси да ви дават съвет как да се защитите или да промените процесите си, защото тогава реално търсите балтон за копчето, това ви прави мудни и сте лишени от възможността да реагирате навреме и правилно.

Винаги се съмнявайте когато има лакеи покрай вас, консултирането е бизнес и той не е свързан с вашата дейност, той генерира печалба на други компании за ваша сметка. Имаме поговорка „много баби – хилаво бебе“ и това е защото всеки ще ви дава съвет но никога няма да ви питат каквото вие искате. Технологиите са хубаво нещо, автоматизирайте, роботизирайте, не се скъпете, но никога не забравяйте човека, който като единствен такъв може да вземе ирационално решение и да ви спаси или да ви потопи.

Не отнемайте средата на хората и не ги превръщайте в машини, защото те ще се държат като автомати. А това е лош сценарий, който обаче може да ви е критерий, за да стимулирате, да възнаградите, да поощрите, да го подложите на съмнение … или просто да повярвате и да вървим ръка за ръка в хармония.

Визитка: Иван Станчин работи в сферата на информационната сигурност близо 15 години. Започва кариерата си в тази област в БТК през 2004 г., а от 2007 г. заема настоящата си позиция в „Уникредит Булбанк“, където отговаря за установяването, оперирането и управлението на ИТ сигурността в банката.

Преди това успява да се докосне почти до всички аспекти на ИТ. Професионалният му опит в информационните технологии започва в служба ГРАО, където работи като приложен програмист, а след това постъпва в „Центъра за телематични услуги“ на БТК, която по това време предоставя интернет на цяла България, продаван на дребно от доставчиците. Първоначално е приложен програмист, после става системен програмист, а в последствие - системен администратор и ИТ директор. Така се заражда интересът му към сигурността. „Сигурността е корпусът, който обединява ИТ и бизнеса. Техническият опит е задължителен; следващият елемент е познаването на бизнеса, едва след това човек започва да разбира сигурността“, категоричен е Станчин.




КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия | Декларация за поверителност | Политика за бисквитки |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов